web-dev-qa-db-ja.com

多形/変成ワームはミューテックスを使用できますか?

多形/変成ワームは(同じ)ミューテックスを使用できますか?これにより、ネットワークを地面に粉砕し、ワームの複数のインスタンスですべてのリソースを消費するという問題が解決されます。この複雑なものを、ミューテックスをサポートしていないAssemblyで記述する必要があるという問題はありますか?

好奇心から、私が見たすべてのポリモーフィック/メタモーフィックコードはファイル感染ウイルスです。多形/変成スタンドアロンワームについて聞いたことがありますか?ファイル感染者よりもプログラミングの方が簡単なようです。

3
Celeritas

簡単な答え:いいえ。

ポリモルフィックマルウェアのポイントは、識別可能なパターンがないことです。名前付きミューテックスを使用する場合は、両方のプロセスでミューテックスの名前を知っている必要があります。ミューテックスの名前を知るには、それにパターンがなければなりません。パターンがある場合、AVはそのパターンを使用してマルウェアを検出できます。

2
Polynomial

承知しました。多形ワームは、必要に応じて「ミューテックス」を使用して、そのアクティビティを調整できます。そうすることを妨げるものは何もありません。

使用する方法によっては、シグニチャベースのA/Vがワームの存在を認識するために使用できるシグニチャを提供する場合があります。これらの方法のいくつかは、署名ベースのA/Vが他の方法よりも認識しやすい場合があります。ワームがインスタンス間を調整するために使用できる卑劣な方法がありますが、A/Vが検出するのは簡単ではないかもしれません。

たとえば、ポリモーフィックワームがすべてのインスタンス間でアクションを調整できる1つの方法は、ネットワークを介してコマンドアンドコントロール(C&C)サーバーと通信することです。 C&Cサーバーは、すべてのインスタンスを追跡し、何をすべきかを指示できます。詳細については、 botnets についてお読みください。 C&Cチャネルは、A/Vがそのようなボットを検出できる潜在的な方法ですが、ボットオペレーターがC&Cチャネルをよりステルスにする方法もあり、最終的にはこれはいたちごっこゲームです。

あなたが尋ねた質問は、疑わしい実用的な関連性だと思います。最近の大規模なワームは通用します。何百万ものマシンに感染してニュースを入手しようとする代わりに、最近の悪者はレーダーの下に留まろうとします。通常、はるかに小さいボットネットで十分であり、組み立てるのはそれほど難しくありません。また、高度な超天才レベルのエクスプロイトも必要ありません。インターネット上のセキュリティが不十分なマシンの数を考えると、数百または数千の侵害されたマシンでボットネットを組み立てるのはそれほど難しくありません。

2
D.W.